Page 78 - การป้องกันและรักษาความปลอดภัยบนเครือข่าย
P. 78
การป้ องกันและรักษาความมั่นคงปลอดภัยบนเครือข่าย : บทที่ 6 การใช้งานระบบตรวจจับการบุกรุก IDS/IPS
ประสงค์ในการตรวจจับหาสิ่งผิดปกติที่เกิดขึ้นใน layer ที่สูงกว่าเช่น transport หรือ
application
6.2 การวิเคราะห์และตรวจจับการบุกรุก
6.2.1 การใช้งาน IDS
IDS ถูกใช้งานเพื่อค้นหาการเหตุการณ์ที่เป็นไปได้ว่าจะเป็นการบุกรุกจากผู้ไม่
ประสงค์ดีเป็นหลัก สามารถตรวจจับการโจมตีเมื่อมีผู้บุกรุกสามารถเข้าถึงระบบได้
สําเร็จผ่านทางช่องโหว่ต่างๆของระบบ เมื่อพบการบุกรุกดังกล่าว IDS จะส่งสัญญาณ
เตือน (alert) ไปยังผู้ดูแลระบบเพื่อให้ดําเนินการตรวจสอบและยับยั้งการบุกรุกนั้นต่อไป
การติดตั้ง IDS จึงช่วยในการลดระดับความรุนแรงของความเสียหายต่อทรัพย์สินของ
องค์กรได้
นอกจากนี้ IDS ยังสามารถบันทึก log ของเหตุการณ์ผิดปกติได้อย่างครบถ้วน
เพื่อใช้ในการนํามาวิเคราะห์พิสูจน์หาต้นเหตุ เลือกวิธีการจัดการกับเหตุการณ์ผิดปกติ
นั้น และเก็บเป็นหลักฐานสําคัญที่จะแสดงการบุกรุกได้
การตั้งค่าหรือกําหนด rule ของ IDS จําเป็นต้องทําให้สอดคล้องกับนโยบาย
ความปลอดภัยขององค์กร เช่น ให้มีความสอดคล้องกับ rule ของ firewall เพื่อให้ IDS
watermark
ตรวจจับสิ่งผิดปกติได้ตรงกับความต้องการ
ตัวอย่างของความสามารถของ IDS
- ตรวจจับการคัดลอกฐานข้อมูลขนาดใหญ่จากเซิร์ฟเวอร์ (server) ไปยังเครื่อง
ลูกข่าย (Client) ของพนักงาน
- ตรวจจับการทํา port scan ทั้งที่ทําโดยผู้บุกรุก และจาก malware ต่างๆ เช่น
worm
- ตรวจจับการทําโจมตีที่ช่องโหว่ของ NetBIOS ของระบบปฏิบัติการ Windows
นอกจากที่จะใช้ IDS ในการตรวจจับการบุกรุก และช่วยการจัดการกับเหตุการณ์
ผิดปกติต่างๆแล้ว IDS ยังมีประโยชน์ในด้านอื่นๆอีกได้แก่
70
